为Hyper-V用户授权

引言：在Windows Server 2012中，不同的账户拥有不同的权限，在执行文件管理、访问共享资源等操作时，只能在其拥有的权限范围内活动。与之对应，在管理Hype-V虚拟机时，也可以赋予不同的操作者不同的权限。例如在Hyper-V中创建了两台虚拟机，分别归属A部门和B部门管理，那么这两个部门的操作者就不能随意管理对方的虚拟机。要想有效地解决这些问题，就必然涉及到Hyper-V的用户授权和监视管理服务。

使用管理员组为用户分配管理权限

在Windows Server 2012中部署了Hyper-V角色后，在默认情况下，Hyper-V主机中的Administrators组中的所有账户对Hyper-V部署的虚拟机拥有完全控制权限，即只要将目标账户添加到该组中，就可以拥有对Hyper-v中的虚拟机的管理大权。点击“Win+R”键，运行“lusrmgr.msc”程序，在账户管理窗口左侧选择“组”项，在右侧窗口中可以看到名为“Hyper-V Administrators”的组，该组中的账户拥有对Hyper-V所有功能的访问权限。在默认情况下，该组中的内容为空。

在域环境中，对于一般的域账户（例如“User1”等）来说，当拥有远程管理Hyper-V主机的权限后，虽然可以远程登录到该机，但是在Hyper-V管理器中却没有操作虚拟机的任何权限，系统会显示“您没有完成此任务所需的权限，请与管理员联系”之类的警告信息。

赋予用户管理虚拟机权限最简单的方法是，在账户管理界面中双击“Administrators”组，在弹出的窗口中点击“添加”按钮，在选择窗口中点击“高级”按钮，在打开窗口中点击“立即查找”按钮，在搜索结果中导入目标账户，将其添加到Adminbistrators组中。之后，以该账户身份远程登录到Hyper-V主机，在Hyper-V窗口中就可以对所有的虚拟机进行各种管理操作。

使用Hyper-V管理员组为用户分配管理权限

实际上，将其他账户随意添加到Administrators组中，对于系统的安全是不利的。为此，可以将目标账户添加到Hyper-V Administrators组中，既可以让其拥有对Hyper-V所有功能，而且不受限制的访问权限，又不会对系统安全构成威胁。例如，当需要对“User01”账户开放Hyper-V虚拟机管理权限的话，可以打开Hyper-V Administrators组的属性窗口，点击“添加”按钮，将“User01”添加到该组中，就可以让其拥有对Hyper-V虚拟机的完全控制权。当该账户远程登录到Hyper-V主机后，打开Hyper-V管理器，可以对所有的虚拟机执行连接、设置、启动、创建快照、移动、导出、重命名、删除等操作。

实际上，在对虚拟机进行管理时，会涉及到各种相关操作。仅仅将目标账户添加到Hyper-V Administrator组中，并不能有效地解决权限管理和控制问题。为了保证虚拟机的正常运作，对于不同的访问者，应该授予其不同的权限。

配置授权管理器

例如，允许有的账户拥有启动停止虚拟机的权限，有的账户则只能有用查看虚拟机运行状况的权限等。要想解决授予不同账户管理权限的问题，需要安装虚拟机授权管理单元。

运行“mmc”命令，在控制台窗口中点击菜单“文件→添加/删除管理单元”项，在弹出窗口左侧的“可用的管理单元”列表中，选择“授权管理器”项，点击“添加”按钮，将其导入到“所选管理单元”列表中。点击“确定”按钮，在控制台窗口左侧选择“授权管理器”项，在其右键菜单上点击“打开授权存储”项，在打开授权存储窗口中选择“XML文件”项，在“存储名称”栏中点击“浏览”按钮，选择“C:ProgramDataMicrosoftWindowsHyper-VInitialStore.xml”文件。点击“确定”按钮，在Hyper-V授权管理器，就可以针对不同的账户，分别为其配置管理虚拟机的权限。

当部署了Hyper-V角色后，普通的账户是没有管理虚拟机的权限的。只有在授权管理器中为其分配权限后，普通账户才可以管理虚拟机。我们知道，虚拟机的各种功能的实现，需要和具体的角色对应。例如，为目标账户赋予了启动和关闭虚拟机的角色，才可以启动或者关闭虚拟机。当赋予目标账户读取服务配置、导出和导入虚拟机、查看内外部端口、查看交换机端口、查看局域网设置等角色后，该账户才拥有了查看虚拟机运行状态的能力。

为了便于管理，可以先创建对应的管理组，之后为该组分配角色，并将关联的账户添加进来，就可以让该组中的所有账户拥有相同的管理虚拟机的权限。

自定义监控角色

例如，在域中的Server01成员服务器上打开账户管理界面，在其中新建一个名为“Guanlihyperv”的组，在属性窗口中点击“添加”按钮，将域账户“user01”添加进来。之后，在上述控制台左侧点击“授权管理器→InitialStore.xml→Hyper-V services→定义→角色定义”项，在右侧窗口的右键菜单上点击“新建角色定义”项，在弹出窗口中的“名称”栏中输入角色名称，例如“查看虚拟机状态”，在“描述”栏中输入描述信息，点击“添加”按钮，在添加定义窗口中的“操作”面板中显示该角色所拥有的功能，可以根据实际需要进行选择。

例如，可以选择“Start Virtual machine”（启动虚拟机），“Stop Virtual Machine”（关闭虚拟机），“Unbind External Ethernet Port（解除外部以太网端口绑定）”，“View External Ethernet Ports（查看外部以太网端口）”，“View Internal Ethernet Ports”（查看内部以太网端口），“View LAN Endpoints”（查看 VLAN 终 结点），“View Switck Ports”（查看交换机端口），“View Switchs”（查看交换机），“View Virtual Machine Confiruration”（查看虚拟机配置），“View Virtual Switch Management Service”（查看虚拟交换机管理服务），“View VLAN Settings”（查看VLAN设置）等。点击”确定”按钮，将选定的功能添加到角色定义窗口中。

角色的分配操作

定义了所需的角色后，接下来需要分配角色，即将目标账户或者组添加到角色中。在控制台窗口左侧点击“控制台根节点→InitialStore.xml→Hyper-V Services→定义→角色分配”项，在右键菜单中点击“分配新角色”项，在弹出窗口中显示所有可用的角色，选择上述“查看虚拟机状态”角色项，将其添加到上述“角色分配”节点下。

选择该角色，在右侧窗口的右键菜单中点击“分配用户和组→从Windows和Active Directory”项，在选择用户或组窗口中的“输入对象名称来选择”栏中输入目标账户好组，例如“server01guanlihyperv”，点击“检查名称”按钮，对合法性进行测试。当检测无误后，点击”确定”按钮，添加到控制台中。

监控虚拟机的状态

因为账户User01是Guanlihyperv组中的成员，因此该账户就可以查看所有虚拟机的运行状态。以该账户身份远程登录到Hyper-V主机上，运行Hyper-V管理器，可以查看到部署的所有虚拟机。因为这里没有授予启动或者关闭虚拟机的权限，所以当选择某台虚拟机，在其右键菜单上点击“启动”或者“关闭”项，系统就显示没有操作权限的提示。当打开某台虚拟机的属相窗口，试图对配置信息进行修改的话，系统就会显示无法修改配置信息，没有执行该操作所需的权限的提示。

当然，我们可以按照上述方法，为指定的账户分配合适的管理权限，允许控制虚拟机的启动/关闭功能，或者允许自由修改虚拟机各项属性的权力。这样，不同的用户分别拥有各自的管理权力，当对部署的虚拟机进行操作时，就会更加合理有序地维护虚拟机的运作。

远程访问Hyper-V虚拟机

利用系统提供的Hyper-V管理器，不仅允许用户管理本地主机，而且执行远程连接操作。在Hyper-V管理器左侧“Hyper-V管理器”项的右键菜单中点击“连接到服务器”，在选择计算机窗口中选择“另一台计算机”项，输入远程Hyper-V主机的名称或者IP地址，也可以点击浏览按钮，在选择计算机窗口中输入或者搜索域内的合法主机，将其添加进来。点击“确定”按钮，将目标主机添加到Hyper-V管理器中，选择该目标主机，就可以显示部署的虚拟机信息了。

此外，还可以利用远程管理程序，对目标Hyper-V主机进行远控操作。一般来说，Hyper-V安装有两块网卡，其中一块网卡部署为虚拟交换机，用来连接许可范围内的多个虚拟设备。另一块网卡连接到管理网络，管理员可以借此连接到Hyper-V主机，进行远程管理。在Windows Server 2012中，可以利用远程桌面功能，通过对用户访问进行授权处理，允许合适的账户远程连接到系统中，默认允许两个远程并发连接，让两个账户可以同时远程连接到本机。

以管理员身份登录到Hyper-V主机上，在计算机图标项的右键功能列表中点击“属性”项，在系统窗口中左侧点击“远程连接”链接，在系统属性窗口中的“远程”面板中如果选择“不允许连接到这台计算机”项，则禁用远程桌面功能。选择“允许远程连接到此计算机”项，同时不选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”项，表示允许任意版本的远程桌面客户端程序连接到本机。选择“允许远程连接到此计算机”项，同时选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”项，表示仅允许运行网络安全级别的身份验证的远程桌面客户端程序连接到本机。

对于使用Windows 7/8/10/2008等系统的客户端来说，最好选择最后一种连接认证方式。点击“选择用户”按钮，在远程桌面用户窗口中点击“添加”按钮，将允许远程访问的账户添加进来。默认状态下，本地管理员中的账户具备远程访问功能。例如，对于使用Windows 8的客户端来说，可以运行“mstsc”程序。来连接Hyper-V主机外，还可以登录到应用商店中下载安装远程桌面工具。之后，点击开始桌面上的“远程桌面”磁贴项，在远程桌面管理窗口底部输入Hyper-V主机的IP或者域名，点击连接按钮，在输入凭证界面中点击“使用其他账户”项，选择合适的账户名，输入密码，勾选“记住我的凭证”项，便于以后的登录操作。

点击“确定”按钮，就可以和Hyper-V主机建立连接，并对其执行远程控制，如同操作本机一样。例如，在远程界面中的开始屏幕上单机“Hyper-V管理器”磁贴项，打开Hyper-V管理器界面，在左侧显示Hyper-V主机面板，在中部显示虚拟机列表，在右侧显示功能面板，您可以根据需要，对部署的虚拟机进行维护操作。例如，对虚拟机进行导入导出，设置Hyper-V运行参数，包括虚拟硬盘、虚拟机、存储迁移、实时迁移、复制配置等。